Ribuan database yang dihosting di Layanan Database Relasional Amazon Web Services Inc. ditemukan telah membocorkan informasi pengenal pribadi, memberikan potensi harta karun bagi pelaku ancaman.
Ditemukan dan dirinci hari ini oleh para peneliti di Mitiga Security Inc., pemaparan datang melalui fitur snapshot di Amazon RDS yang digunakan untuk mencadangkan database yang dihosting. Fitur ini memungkinkan pengguna untuk berbagi data publik atau database template dengan aplikasi, termasuk membuat snapshot RDS Publik untuk dibagikan tanpa harus berurusan dengan peran dan kebijakan.
Masalahnya adalah bahwa snapshot sering kali dapat diekspos selama beberapa menit hingga bahkan berhari-hari dan berminggu-minggu, penuh dengan PII yang diinginkan untuk mengancam pelaku.
“Snapshot yang bocor mungkin berpotensi [a] aset yang sangat berharga bagi pelaku ancaman — baik selama fase pengintaian rantai pembunuh dunia maya (database dapat menyertakan data teknis sensitif yang dapat digunakan untuk eksploitasi, seperti kunci API) atau untuk kampanye pemerasan atau ransomware,” catat para peneliti. “Mempublikasikan snapshot, bahkan untuk waktu yang sangat singkat, dapat menimbulkan hasil yang tidak diinginkan.”
Untuk menyoroti bagaimana pelaku ancaman dapat mengakses data, para peneliti mengembangkan teknik asli AWS menggunakan AWS Lambda Step Function dan boto3 — kit pengembangan perangkat lunak untuk bahasa pemrograman Python — untuk memindai, menggandakan, dan mengekstrak informasi sensitif dari snapshot RDS secara luas skala. Selama sebulan hingga 20 Oktober, para peneliti mengamati 2.783 snapshot RDS, 810 di antaranya diekspos secara publik sepanjang bulan. Selain itu, 1.859 snapshot dari 2.783 diekspos selama satu hingga dua hari, waktu yang cukup bagi penyerang untuk mendapatkannya dengan mudah.
Informasi dalam snapshot yang terbuka termasuk alamat, kata sandi, detail kartu kredit, token, nomor telepon, nomor paspor, dan lainnya, semua informasi yang dapat digunakan oleh peretas.
Kesalahan di sini bukan terletak pada AWS. Para peneliti mencatat bahwa AWS tidak hanya membuat pengguna RDS sadar akan snapshot yang terbuka secara publik tetapi juga menyediakan alat seperti AWS Trusted Advisor yang mendeteksi masalah keamanan dan merekomendasikan langkah-langkah untuk memperbaikinya.
Anehnya, ada cara sederhana untuk membagikan snapshot RDS tanpa mengekspos PII: mengenkripsinya. Para peneliti mencatat bahwa AWS memungkinkan pengguna untuk mengenkripsi snapshot dengan kunci KMS bersama, meniadakan masalah tersebut.
Untuk organisasi yang menyimpan atau memproses data di dalam cloud, proses harus tersedia untuk memastikan bahwa data tetap terlindungi bahkan setelah melakukan perubahan, kata Erich Kron, advokat kesadaran keamanan di perusahaan pelatihan kesadaran keamanan KnowBe4 Inc., kepada SiliconANGLE. “Praktek meminta orang kedua mengonfirmasi izin pada data, meski bisa merepotkan, berpotensi menghemat banyak tenaga kerja dan potensi denda, terutama di industri yang diatur secara ketat,” tambah Kron.
Gambar: PXdi sini
Tunjukkan dukungan Anda untuk misi kami dengan bergabung bersama para pakar Cube Club dan Komunitas Acara Cube kami. Bergabunglah dengan komunitas yang mencakup Amazon Web Services dan CEO Amazon.com Andy Jassy, pendiri dan CEO Dell Technologies Michael Dell, CEO Intel Pat Gelsinger, dan banyak tokoh dan pakar lainnya.
Togel hongkong hari https://crosbylodge.net/ pula konsisten jadi di gemari oleh pemeran dengan terdapatnya live draw hk prize. Alasannya para pemeran meraih agunan hasil keluaran togel hkg yang nyaman dari ketakjujuran. Di malah lagi hadiah kemenangan jackpot togel terbanyak yang di menawarkan https://adunblock.com/ para bandar togel hongkong online pula konsisten menjadi menjanjikan. Alhasil lagutogel tidak membingungkan andaikan togel hongkong online selamanya menjadi pasaran judi togel hari ini yang sangat tenar di google. Dengan proses keamanan berstandar international dan sarana terbaik dari bandar https://bmi-club.com/ online sah berasal dari hongkongpools. Telah pasti para togelers hendak merasakan kenyamanan terbaik bikin menduga nilai bermain togel hongkong malam ini.
